Prevención de ataques por DDOS

Sudwind

nadie parece saber como controlar esto  :'(

trasher

usa snort,

hay una regla para blokear la ip desde la cual te estan atacando.

Saludos!

Sudwind

y si atacan 100 o 200 simultáneos? no existe nada para detectar y bloquear la ip automáticamente??

trasher

en general detecta un atake ddos, y bloquea el trafico desde las ips origen asi sean  100,000

Sudwind

podrías decirme cual es la opción en especifico que hace esta tarea??, ya que busco y no encuentro
voy a probar y comento que tal me fue

Sudwind

tengo un ejemplo practico del problema:
usando la app UDP UNICORN desde un equipo dentro de la lan envió packetes al pfsense y este los recibe. la idea es hacer que este detecte que es un ataque y bloquee la ip. sera esto posible?

bellera

¿Qué servicio tienes publicado por UDP? ¿Un DNS, un NTP…?

amnarl

Nuevamente como lo hice al principio y como lo acota el maestro bellera se requiere saber que servicios tienes publicados o presenta el ataque ddos las soluciones a estos inconvenientes son variables en funcion a estos

Sudwind

como ya comente antes, con el software UDP UNICORN (para windows) puedo flodear pfsense, a pesar de tener UDP completamente bloqueado, finalmente satura mi enlace dedicado. si ya tengo bloqueado UDP completo por que se sigue saturando pfsense??

bellera

Interesante…

Parece que no hay manera de evitar esto con un cortafuegos, pues son peticiones a atender...

Google flood pfsense

https://forum.pfsense.org/index.php?topic=57709.msg308697#msg308697

http://wiki.mikrotik.com/wiki/DoS_attack_protection (siempre va bien mirar a Mikrotik -bien documentado-)

Google flood ataque

http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html

Google flood prevent freebsd

http://nixcraft.com/showthread.php/16587-FreeBSD-PF-shell-script-to-block-Syn-Flood-DDoS-Attacks

Al final hay un script basado en detectar los estados problemáticos y borrarlos. Parece una buena solución para mitigarlo.

Algunas de las medidas explicadas en http://www.sectechno.com/quick-tips-to-fight-ddos-attack/ están implementadas en System: Advanced: System Tunables

periko

Hola, si estas sufriendo ataques DOS, esos IP's ya investigastes de donde vienen?
  A lo mejor bloqueado el rango de IP's por pais te ayudaria.
  Por ejemplo no creo que tengas negocios con Irlanda del norte por asi decirlo.
  Saludos.

trasher mx

Debes leer, se ayuda en lo que se puede la mayoria de foristas siempre estan atentos y siempre te daran un norte para que puedas solucionar tu problema, pero obviamente tienes que poner de tu parte,
si no quieres leer nadie vendra a darte las soluciones en la mano.

Te dije al principio: usa SNORT hay reglas para responder a los atakes DDOS.

Lee como instalar SNORT, registra tu OINKCODE.

UNA VEZ que hayas terminado de hacer eso, DEBES crear reglas para WAN y para LAN, si quieres FLOODEAR tu FIREWALL desde adentro DEBES CREAR LA REGLA ANTIFLOOD DESDE LAN.

11/21/14 13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:27	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	54395	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	58693	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	54395	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	33902	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	0	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	0	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap
11/21/14
13:31:18	3	UDP	Generic Protocol Command Decode	192.168.5.192
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_src IP	54395	192.168.5.254
Icon Reverse Resolve with DNS  Add this alert to the Suppress List and track by_dst IP	10526	123:8
Add this alert to the Suppress List  Force-disable this rule and remove it from current rules set.	(spp_frag3) Fragmentation overlap

Ese es un log, en unas pruebas que hice dentro de mi red, floodeando mi firewall desde mi computadora.
Si detecta el atake entonces es posible rechazarlo.

Ya mas no puedo hacer por ti.

PD. No me acuerdo del passwd de mi otra cuenta y el correo que estaba vinculado ya no existe, hay manera de recuperar mi antiguo user ?  :-\

bellera

@trasher:

PD. No me acuerdo del passwd de mi otra cuenta y el correo que estaba vinculado ya no existe, hay manera de recuperar mi antiguo user ?  :-\

Complicado, supongo. Puedo administrar mensajes pero no usuarios.

Tendrías que dirigirte a alguno de los administradores "generales":

https://forum.pfsense.org/index.php?action=mlist;sort=id_group;start=0

Sudwind

https://forum.pfsense.org/index.php?topic=26966.0

según ese hilo, no es posible bloquear ataques ddos con pfsense, solo queda pedir al isp que bloquee las ip atacantes por mi, que esta en una capa mas baja. alguna idea?

shadow25

Hola. Te dejo unos links interesantes que te pueden aportar algun acercamiento a la solucion del problema.

http://www.wedebugyou.com/2012/11/how-to-prevent-and-mitigate-ddos-part1/

http://es.scribd.com/doc/245892003/Instalacion-configuracion-y-funcionamiento-del-IDS-SNORT-pdf
http://postgrado.info.unlp.edu.ar/Carreras/Magisters/Redes_de_Datos/Tesis/Britos_Jose_Daniel.pdf

Saludos

rodria

Ya te dijeron anteriormente que uses bloqueo de IP por paises, eso debe servirte, para ello instala pfBlocker desde System/Packages. Saludos

bellera

@shadow25:

Hola. Te dejo unos links interesantes que te pueden aportar algun acercamiento a la solucion del problema.

http://www.wedebugyou.com/2012/11/how-to-prevent-and-mitigate-ddos-part1/

http://es.scribd.com/doc/245892003/Instalacion-configuracion-y-funcionamiento-del-IDS-SNORT-pdf
http://postgrado.info.unlp.edu.ar/Carreras/Magisters/Redes_de_Datos/Tesis/Britos_Jose_Daniel.pdf

Saludos

¡Buen aporte! Referenciado en Documentación.